Ha sido el primer caso grave de exposición de datos de clientes desde la entrada en funcionamiento el pasado mayo del nuevo Reglamento general de protección de datos (RGPD), en vigor en los 28 estados miembros de la UE. Durante horas quedó al descubierto en la página web de Movistar información como el nombre, el domicilio, las direcciones de correo electrónico, el detalle de las llamadas y los números de teléfonos fijos y móviles de un número de clientes que la compañía aún no ha podido concretar. Un error que la asociación de consumidores Facua ha considerado «la brecha más importante de seguridad en la historia de las telecomunicaciones en España». Esta asociación ha presentado una denuncia contra Telefónica España y Telefónica Móviles ante la Agencia Española de Protección de Datos.

 
El caso pone de manifiesto la importancia de la nueva función laboral que exige la normativa vigente. Se trata de una figura que garantice el cumplimiento del Reglamento y que es obligatoria para todas las administraciones públicas y todas las empresas, organizaciones y entidades que trabajen con un alto volumen de datos de usuarios. Esto significa ayuntamientos, empresas de telefonía, aseguradoras, bancos, empresas eléctricas..., así como institutos, hospitales, partidos políticos y sindicatos, por ejemplo.
 

Se aclaran los interrogantes que se han originado en torno a la figura del delegado de protección de datos (DPD) con Josep Curto, experto en macrodatos y profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, y Mónica Vilasau, directora del posgrado de Protección de Datos y Comercio Electrónico de la UOC, y profesora de Derecho civil.

Una figura obligatoria en hospitales, partidos políticos y gabinetes jurídicos

La presencia de este nuevo perfil profesional es obligatoria cuando el tratamiento de datos lo realiza una autoridad u organismo público, excepto los tribunales de justicia; cuando hay una observación habitual y sistemática de personas interesadas a gran escala, y por lo tanto, un seguimiento y una clasificación (por ejemplo banca, seguros, empresas de vigilancia, empresas que elaboran perfiles de usuarios..); cuando hay datos de carácter personal relativos al origen étnico o racial, opiniones políticas, religiosas, afiliación sindical, datos de salud o de orientación sexual... (como partidos políticos, iglesias, sindicatos, hospitales, mutuas, institutos); y cuando los datos se refieren a condenas o infracciones penales (por ejemplo, gabinetes jurídicos).

 
El resto de las organizaciones —las que no entran en estos parámetros— también están obligadas a cumplir el nuevo Reglamento general de protección de datos, aunque la normativa no las obligue a tener la figura concreta del delegado.

 
¿Qué funciones desempeña?

Su tarea más importante es la supervisión del cumplimiento del Reglamento. Esto implica recopilar información de las actividades, analizar y verificar su cumplimiento, y tratar de aconsejar y emitir recomendaciones al consejo directivo de la organización. «Es importante recordar que el delegado no es el que aplica las medidas apropiadas para el cumplimiento del Reglamento sino quien supervisa su aplicación », explica Josep Curto.

 
Este cargo debe asesorar a las personas que tratan la información personal y cooperar y ser el punto de contacto con la autoridad de control. «El delegado debe actuar teniendo en cuenta los riesgos que conlleva el tratamiento que se realiza, considerando su naturaleza, alcance, contexto y finalidades», remarca Mónica Vilasau.